Правовое обеспечение безопасности информации

Правовые или законодательные основы обеспечения безопасности ИС составляют Конституция РФ, законы РФ, кодексы, указы и другие нормативные акты, регулирующие отношения в области информации.

Правовое обеспечение - совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

Как известно, важнейшим гарантом прав и свобод граждан является Конституция Российской Федерации. В ней есть несколько статей, имеющих отношение к данному вопросу (ст. ст. 2, 23, 24). Положения Конституции нашли подкрепление и в других законодательных актах. Так, в Законе “Об информации, информатизации и защите информации” отмечается, что одной из приоритетных целей государственной политики в сфере информатизации является обеспечение как национальной безопасности, так и реализации прав граждан, а также развитие законодательства в сфере защиты информации.

Очевидно, что любая правовая норма, устанавливающая ограничения на какие-либо действия, должна содержать санкцию, предусматривающую юридическую ответственность за ее нарушение. В этом смысле актуальными являются ст. ст. 137 - 139 Уголовного кодекса РФ, которые предусматривают уголовную ответственность за нарушение неприкосновенности частной жизни, жилища, а также тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

Правовой основой лицензирования деятельности организаций в области защиты информации можно считать Указ Президента РФ №9-92 г. “О создании Государственной технической комиссии при Президенте Российской Федерации” и последовавшее за ним Распоряжение № 829, утверждающее Положение о Гостехкомиссии России. Распоряжением было определено, что работы по защите информации от ИТР и от ее утечки по техническим каналам могут осуществляться только на основании лицензии (п. 4). Право выдавать предприятиям и организациям такие лицензии предоставлено Гостехкомиссии России.

Закон Российской Федерации № 4524-1 - 93 г. “О федеральных органах правительственной связи и информации” требует лицензирования производства и эксплуатации шифровальных средств, предоставления услуг в этой области и возлагает на органы ФАПСИ ответственность за ведение лицензионной деятельности в пределах своей компетенции и сертификацию продукции (ст. 11.К).

Совместным решением Гостехкомиссии России и ФАПСИ № 10 от 27 апреля 1994 года введено в действие “Положение о государственном лицензировании деятельности в области защиты информации”, которое определяет границы компетенции этих органов в вопросах выдачи лицензий на определенные виды деятельности и собственно порядок их получения.

Статья 27 Закона РФ “О Государственной тайне” предписывает осуществлять допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации и оказанием услуг по защите государственной тайны, путем получения ими лицензий на проведение этих работ. Сами же средства защиты должны иметь сертификат, удостоверяющий, что они соответствуют предъявляемым требованиям (ст. 28).

Одним из негативных социальных явлений, сопровождающих внедрение новых информационных технологий в деятельность различных предприятий, учреждений и организаций является компьютерная преступность. Под компьютерным преступлением следует понимать предусмотренное уголовным законом общественно опасное деяние (действие или воздействие), направленное против информации, представленной в особом (машинном) виде, принадлежащей государству, юридическому или физическому лицу, а также против установленного ее собственником или государством порядка создания (приобретения), использования и уничтожения, если оно причинило или представляло реальную угрозу причинения ущерба владельцу информации или автоматизированной системы, в которой эта информация генерируется (создается), обрабатывается, передается или уничтожается, или повлекло иные тяжкие последствия.

В направлении организации борьбы с компьютерной преступностью в Российской Федерации уже сделаны первые шаги. ГТК РФ разработана “Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации” - решение Председателя ГТК РФ от 30.03.92 г. В Уголовном кодексе, принятом Государственной Думой, содержится специальная глава 28 “Преступления в сфере компьютерной информации”, содержащая три статьи, предусматривающие уголовную ответственность за следующие преступления:

- неправомерный доступ к компьютерной информации (ст. 272);

-создание, использование и распространение вредоносных программ для ЭВМ (ст. 273);

- нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Рассмотренные документы, касающиеся правового регулирования вопросов лицензирования деятельности предприятий по оказанию услуг в области защиты информации и сертификации продукции по требованиям безопасности информации, обеспечивают правовую основу предотвращения возможной утечки информации посредством использования технических средств разведки. Но, необходимо отметить, что люди в ряду источников конфиденциальной информации занимают особое место, так как способны выступать не только обладателями конфиденциальной информации, но и субъектами злонамеренных действий. Перекрытие данного канала утечки информации представляет собой очень непростую задачу, которая имеет два аспекта:

- построение эффективной системы управления доступом в помещение;

- предотвращение возможной утечки конфиденциальной информации и определение круга лиц, через которых эта утечка происходит.

Правовой основой проведения сыскных, охранных и охранно-сыскных мероприятий и использования технических средств, которые применяются в системах управления доступом в помещение, являются законы "Об оперативно-розыскной деятельности" и "О частной детективной и охранной деятельности". В данных законах определенперечень мероприятий, проведение которых разрешено соответствующим государственным и частным структурам.